国网安徽省电力有限公司电力科学研究院 李圆智 徐斌 国网安徽省电力有限公司 陈伟 杨文涛
由于电力通信技术和计算机技术的高速发展,新型动力系统中的供电控制服务终端表现出点多、范围广、规模大的特征。服务信息的交换频率和信息量急剧增加,监控网络成为智慧供电系统的重要部分,一旦出现网络攻击,将引发大规模断电事故。便携式网络安全配置核查加固装置通过旁路的方式接入网络交换机,可适用于调度主站、变电站、电厂的生产控制大区的I 区、II 区和管理信息大区。可推广至互联网大区,对各类主机、服务器、工作站开展配置识别及安全加固工作。
电力监控系统网络安全主要是依靠各种边界保护系统进行安全边缘保护,而网络系统在运营过程中,尽管已经配备了防火墙、入侵侦测装置等各种网络安全技术,但是对主厂所内网络上的各种网关、主机保护薄弱,还没有完全彻底地解决潜藏于网络系统内的脆弱性问题[1]。例如在系统构建管理时,会出现环境选择错误、软件选择错误、参数选择不满足安全性要求等安全漏洞。在日常操作管理时,会出现安全性补丁不能进行完善、木马病毒侵入、服务的软件被滥用、开通一些不合理的业务和接口、系统维护不满足安全性要求等安全漏洞。如果用电监控信息系统中的安全漏洞被非法使用,对电力系统的安全性乃至用电管理都将产生不良作用,导致用电调度网络崩溃、信息篡改、数据泄露乃至大面积停电事故。为了尽量降低电力监控系统的脆弱性,网络安全加固工作必不可少。
为解决上述存在的安全隐患,需要从以下几个方面对电力系统网络安全加固工作进行提升完善。
一是提升自动化安全加固速度与效率,针对存在的工作量大、效率低、手工检查缓慢、手工加固困难等问题,提升自动化加固的速度与效率,通过自动加固设备解决电力监控系统中存在的配置隐患,解决人工加固的弊端,提升主机及服务器网络安全。
二是加大自动化加固系统的范围,在支持Windows操作和Ubuntu操作系统的基础上,研发其他操作系统的自动化加固模板,安全加固范围不仅需要覆盖凝思磐石、Ubuntu、Redhat、Centos4 等Linux 系统的配置要求,还应支持数据库插件、网络设备、安全设备等资产。
三是研发功能扩展模块,在等级保护配置模板的基础上,加入国网配置基线模板,提升安全加固的效果。
四是提升设备升级功能,在原有在线升级的基础上,加入离线升级方式,扩展孵化产品的使用场景。
五是产品实施及可维护性提升,具备产品化后大规模使用、实施和用户后期自主运维能力。
在电力控制系统中,各种通信的IT系统采用通用的操作系统、数据库,各种系统之间采用IP网络进行通信。为保证电力通信网、服务网络和支撑网络的质量,需要从入网测试、工程验收和操作保养等环节做好安全配置核查工作。
网络系统的定期安全漏洞修复检查以及人员配置操作的安全设置审查已成为安全运维业务人员的日常工作。每项检测工作都需要人工记录,稍有遗漏就必须重新补测。因而针对互联网中各种类型复杂、数量庞大的设备与软件,要求迅速、高效的检测设备,集中收集与核查结果,并且及时作出风险评估报告,满足企业需要。
为解决上述存在的问题,需要从以下几个方面对电力系统网络安全配置核查工作进行提升完善。
一是可操作性。根据具体情况,建立一套本组织在当前时期的“理想化安全水平基准点”,即“安全基线”。这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等,贯穿风险管理的要求和方法,通过技术与管理两方面的手段,将体系化的指导思想进行落地。
二是标准化。在“安全基线”的基础上,构建一套针对桌面系统的检查项,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了框架。
三是自动化。针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动化工具执行,为自动化的技术安全操作提供支持。
中国网络安全管理部门遇到的最关键和紧迫的课题是:全面落地安全标准,进一步细化各层级防护规定。这就要求网安工程师必须及时提出自动化技术解决方案,协助运维管理部门及时应对,最终发现和处理所有与安全标准不相符的技术问题,以满足安全规范的需要。
4.1 系统架构
便携式网络安全设备核查的设备为模块化结构,包括基础平台层、系统服务层、系统核心层、系统接入层等,每个内部都有不同的功能模块,便携式网络安全设备结构如图1所示。
图1 便携式网络安全设备结构
4.1.1 基础平台层功能
支撑体系包含专业软硬件管理系统和基础软件网络平台。该软件系统平台涵盖了控制系统、文档管理系统、硬盘加密破解、应用密码破解、进入出口密码破解、IPv4/IPv6 网络服务、内部数据库系统、Web业务、程序运行平台等模块。
4.1.2 系统服务层功能
操作系统技术层包括了处理引擎和系统服务引擎。数字引擎是操作系统内置的数据接口,实现了数据库存取、数据缓存、信息同步等操作。数据处理引擎完全遮蔽了数据库管理系统中使用的数据结构,减少了数据库系统的接口,完善了信息库管理系统的使用,集中处理信息的逻辑,减少了对任何操作模板的维修数量。
4.1.3 系统核心层功能
应用基础层是软件产品的基础,包括服务器发现、应用鉴别、业务鉴别、弱密码检查、安装验证等功能,并有较多可以扩充的模板与插件。
4.1.4 系统接入层功能
系统接口层包括了用户通过网页访问Web 网页、使用串口访问控制台、使用数据接口层实现数据交换等方面,当中的数据接口层包括了第三方平台管理数据端口、SNMP Trap。
4.2 功能说明
4.2.1 风险统一分析
便携式网络安全配置核查加固装置采用完整的高风险系统配置与扫描方案,并采用安全风险计算方法,对网络中各个方面的安全脆弱度系统进行大数据分析与风险判断,并进行综合安全状况评估,以充分展现电力监控系统的安全风险。
4.2.2 融入并促进安全管理流程
安全管理过程制度通常分为预警、检测、分析管理、纠正、审核等多个环节,本装置可以介入安全过程中的预警、检测、分析管理、审核等环节,并利用事故报警系统指导安全管理者实施风险修补。
4.3 场景说明
4.3.1 监督检查或小规模的安全运维
小规模网络下单独部署便携式网络安全配置核查加固装置,通过IP地址网络接入的方式,可实现整体网络的风险识别与加固,完成全部网络的安全检查[2]。
4.3.2 多子网安全运维
多种服务子网被划分,各个子网均有不同辨识要求的网络安全架构。便携式网络安全配置核查加固设备可以适应多种子网的服务要求。设备包括多种扫描接口,各种扫描接口都能够通过配置连接各个子网,即无须防火墙,还可以降低系统投资成本。
4.3.3 第三方系统集成
便携式网络安全配置核查加固装置采用了开放性的操作界面,通过接口即可接收安全管理中心检查结果信息和装置核查信息,通过系统的执行引擎向安全管理中心提交安全装置核查结果信息。
2021年9 月和10月分别对某地市电力监控主站和某地区110kV变电站开展电力监控系统安全检查工作,使用便携式网络安全配置核查加固装置对服务器资产进行安全检查,通过便携式网络安全配置核查加固装置为各个风险主机生成风险指数与报告。
5.1 配置核查整体风险状态展示
通过不合规配置名称、不合规配置内容、风险值、不合规配置主机数量等多个维度展示试点主机的整体安全风险。
5.2 某主站部分系统开展试点测试
对重点业务系统开展配置检查,发现某系统存在不合规配置,主要包括未设置口令最小长度、未开启系统日志审计功能、未禁用ROOT 用户远程TELNET 登录等问题。这些问题会严重影响系统安全,对全局网络造成危害。建议对此系统进行安全加固,修改不合规配置。
5.3 某主站开启高危端口的问题
根据检查报告,某主站开启所有端口和服务信息,发现此主站开启了21、445 等高危端口,如果此主站出现安全隐患,容易在网络内部大面积造成病毒的传播,影响系统安全、电力监控系统安全。
5.4 所有不合规配置均可以实现加固
某主站的所有不合规配置信息,通过检查内容、风险值、结果是否合规三个维度进行展示。并且每一项不合规配置均有详细介绍和加固方法,系统自带安全加固功能,在加固同时详细说明安全加固的配置方法,方便运维人员进行判断和记录安全加固的痕迹。
便携式安全配置核查加固装置符合安全管理体系规范,可以满足管理业务系统、审核安全配置、报告安全风险、审核安全风险等应用场景,还可以满足各种组网条件。通过检测系统中的弱口令,获取对系统不必要开放的用户、服务、接口,并生成系统完整的风险报表。同时,便携式安全配置核查加固装置可以通过报告系统进行整改,有效提高电网监管系统安全保护水平,推动电网监管系统内部安全制度建设的有效实施,降低了系统投资成本。并且,便携式安全配置核查加固装置适用于调度主站、变电站、电厂的生产控制大区的I 区、II 区和管理信息大区,可以推广至互联网大区,对各类主机、服务器、工作站开展配置识别及安全加固工作。
猜你喜欢主站核查网络安全对某企业重大危险源核查引发的思考江苏安全生产(2022年10期)2022-11-02关于设计保证系统适航独立核查的思考民用飞机设计与研究(2020年4期)2021-01-21基于无人机影像的营造林核查应用研究林业科技(2020年3期)2021-01-21基于S7-1200 PLC的DP总线通信技术在马里古伊那水电站泄洪冲沙孔门机上的应用中国水能及电气化(2019年10期)2019-11-07网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29变电站综合自动化系统调试新方法研究机电信息(2018年36期)2018-12-21上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05EtherCAT主站与主站通信协议的研究与实现*组合机床与自动化加工技术(2017年1期)2017-02-15多表远程集抄主站系统电子制作(2017年23期)2017-02-02
